xx网站应用渗透测试项目技术方案v2

xx网站应用渗透测试项目技术方案v2内容摘要：

都是一对多的 门户网站 WEB 渗透测试 门户网站服务的对象是所有互联网用户，其风险和影响最大，如果出现网站被攻陷或网页被篡改等情况，可能会造成较大的社会或政治影响，因此需要专门针对 xx 的门户网站进行 WEB 渗透测试。 渗透测试范围 本次 xx网站应用渗透测试项目实施范围包括 10 个自建网站及 40 个下属单位网站。 渗透测试方法 WEB 服务器漏洞利用 通过被披露的各种服务器 操作系统及应用软件（或模块） 的 安全漏洞，利用这些漏洞及相关工具对 WEB 服务器和 网站及其应用 进行漏洞利用测试。 SQL 注入 对网站应用程序的 输入数据进行合法性检查， 对客户端参数中包含的某些特xx 网站 渗透测试项目技术方案 共 32 页 第 11 页 殊内容进行不适当的处理，进行预判。 SQL 语句注入：通过向提交给应用程序的输入数据中“注入”某些特殊 SQL 语句，最终可能获取、篡改、控制网站服务器端数据库中的内容。  SQL Injection 定义 所谓 SQL Injection ，就是通过向有 SQL 查询的 WEB 程序提交一个精心构造的请求，从而突破了最初的 SQL 查询限制，实现了未授权的访问或存取。  SQL Injection 原理 随着 WEB 应用的复杂化，多数 WEB 应用都使用数据库作为后台， WEB程序接受用户参数作为查询条件，即用户可以在某种程度上控制查询的结果，如果 WEB 程序对用户输入过滤的比较少，那么入侵者就可能提交一些特殊的参数，而这些参数可以使该查询语句按照自己的意图来运行，这往往是一些未授权的操作，这样只要组合后的查询语句在语法上没有错误，那么就会被执行。  SQL Injection 危害 SQL Injection 的危害主要包括： 1． 露敏感信息 2． 提升 WEB 应用程序权限 3． 操作任意文件 4． 执行任意命令  SQL Injection 技巧 利用 SQL Injection 的攻击技巧主要有如下几种： 1． 逻辑组合法：通过组合多种逻辑查询语句，获得所需要的查询结果。 2． 错误信息法：通过精心构造某些查询语句，使数据库运行出错，错误信息中包含了敏感信息。 3． 有限穷举法：通过精心构造查询语句，可以快速穷举出数据库中的任意信息。 4． 移花接木法：利用数据库已有资源，结合其特性立刻获得所需xx 网站 渗透测试项目技术方案 共 32 页 第 12 页 信息。  预防手段 要做到预防 SQL Injection， 数据库管理员（ MS SQL Server）应做到： 1． 应用系统使用独立的数据库帐号，并且分配最小的库，表以及字段权限 2． 禁止或删除不必要的存储过程 3． 必须使用的存储过程要分配合理的权限 4． 屏蔽数据库错误信息 WEB 程序员则应做到： 1． 对用户输入内容进行过滤（‘ ， “ %09 %20） 2． 对用户输入长度进行限制 3． 注意查询语句书写技巧 XSS 跨站脚本攻击 通过 跨站脚本 的方式对门户网站系统进行测试。 跨站脚本是 一种向其他 Web用户浏览页面插入执行代码的方法。 网站服务器端应用程序 如果 接 受客户端提交的表单信息而不加验证审核， 攻击者 很可能在其中插入可执行脚本的代码，例如JavaScript、 VBScript 等，如果客户端提交的内容不经过滤地返回给任意访问该网站的客户端浏览器，其中嵌入的脚本代码就会以该网站服务器的可信级别被客户端浏览器执行。  漏洞成因 是因为 WEB程序没有对用户提交的变量中的 HTML代码进行过滤或转换。  漏洞形式 这里所说的形式，实际上是指 WEB 输入的形式，主要分为两种： 1． 显示输入 2． 隐式输入 xx 网站 渗透测试项目技术方案 共 32 页 第 13 页 其中显示输入明确要求用户输入数据，而隐式输入则本来并不要求用户输入数据，但是用户却可 以通过输入数据来进行干涉。 显示输入又可以分为两种： 1． 输入完成立刻输出结果 2． 输入完成先存储在文本文件或数据库中，然后再输出结果 注意：后者可能会让你的网站面目全非 ! 而隐式输入除了一些正常的情况外，还可以利用服务器或 WEB 程序处理错误信息的方式来实施。  漏洞危害 比较典型的危害包括但不限于： 1． 获取其他用户 Cookie 中的敏感数据 2． 屏蔽页面特定信息 3． 伪造页面信息 4． 拒绝服务攻击 5． 突破外网内网不同安全设置 6． 与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令等 7． 其它 一般来说，上面的危害还经常伴随着页面变形的 情况。 而所谓跨站脚本执行漏洞，也就是通过别人的网站达到攻击的效果，也就是说，这种攻击能在一定程度上隐藏身份。  解决方法 要避免受到跨站脚本执行漏洞的攻击，需要程序员和用户两方面共同努力，程序员应过滤或转换用户提交数据中的所有 HTML 代码，并限制用户提交数据的长度；而用户方则不要轻易访问别人提供的链接，并禁止浏览器运行 JavaScript 和 ActiveX 代码。 xx 网站 渗透测试项目技术方案 共 32 页 第 14 页 CRLF 注入 CRLF 注入攻击并没有像其它类型的攻击那样著名。 但是，当对有安全漏洞的应用程序实施 CRLF 注入攻击时，这种攻击对于攻击者同样有效，并且对用户造成极大的破坏。 充分检测 应用 程序 在 数据执行操作之前， 对 任何不符合预期的数据类型的字符 过滤是否符合要求。 XPath 注入 XPath 注入攻击是指利用 XPath 解析器的松散输入和容错特性，能够在 URL、表单或其它信息上附带恶意的 XPath 查询代码，以获得权限信息的访问权并更改这些信息。 XPath 注入攻击是针对 Web 服务应用新的攻击方法，它允许攻击者在事先不知道 XPath 查 询相关知 识的情况下，通过 XPath 查询得到一个 XML文档的完整内容。 COOKIE 操纵 浏览器与服务器之间的会话信息通常存储在 Cookie 或隐藏域中，通过修改这些会话参数， 来对 控制会话 进行测试。 参数操控一般发生在数据传输之前，因此 SSL 中的加密保护通常并不能解决这个问题。  Cookie 欺骗：修改或伪造 Cookie，达到入侵目的。 Google Hacking 使用 google 中的一些语法可以提供给我们更多的 WEB 网站 信息 ，通过在搜索引擎中搜索 WEB 网站可能存在的敏感信息，获取有利用价值的攻击线索，并进行渗 透测试攻击。 xx 网站 渗透测试项目技术方案 共 32 页 第 15 页 暴力猜解 对于采用口令进行用户认证的应用， 将 使用工具进行口令猜 测以获取用户帐号 /密码，口令猜测使用字典攻击和蛮力攻击。 木马植入 对网站进行信息收集，查找是否存在安全漏洞，是否可以 利用 漏洞上传一个后门程序 以取得 WEBSHELL，修改页面植入木马，对所有访问者进行木马攻击。 病毒与木马检查 根 据 本次渗透测试 范围要求对系统进行 木马检查 ，检查系统是否感染病毒和木马。 此次检测如系统存在 病毒或 木马， 我方 将和 xx 程师在第一时间进行彻底的查杀和清除，并将检查结果进行汇总分析，形成报告。 病毒木马检 查 主要内容 包括：  启动项分析 ；  隐藏文件、内核检测；  网络异常连接检测；  恶意文件扫描；  注册表分析；  清除恶意文件；  修复系统；  其他项； 溢出攻击 通过前期资料收集掌握的网站程序及各种支撑中间件进行分析、总结，利用工具与工程经验结合的方式对网站运营支撑的各种应用程序和中间件进行缓冲区溢出攻击测试，发现存在溢出的程序，充分保障网站安全运行。 xx 网站 渗透测试项目技术方案 共 32 页 第 16 页 后门 利用工具对信息系统进行彻底扫描，对异常进程、 网络 异常连接 、异常流量、启动项 等进行深入分析，查找系统是否存在后门。 欺骗 实时监控网络情况，对诸如网络钓鱼和其他虚假网站形 成实时跟踪机制，及时发现欺骗行为，通过安全上报机制 及时报告并协助加强安全 防范。 通过搜索引擎对疑似钓鱼网站和错误链接进行风险排查，对重点可疑网站进行深度负面分析。 一旦发现有假冒站点出现，便立刻向相关管理机构举报，关闭该虚假站点。 通过这种方式，大力防范了钓鱼网站对客户的 欺骗 和攻击，及时抑制了 欺骗 对客户利益的损害，为客户打造了安全可靠的互联网环境，有效消除了客户疑虑，大大增强了客户信心。 系统渗透测试 采用“黑盒”和“白盒”两种方式对 xx 的系统从应用层、网络层和系统层等方面进行渗透。 渗透测试范围 本次 xx网站 应用渗透测试项目实施范围包括 10 个自建网站及 40 个下属单位网站。 渗透测试方法 “黑盒” 渗透测试 在只了解渗透对象 的情况下，从互联网和 xx 下各个安全域接入 点位置从“内”“外”两个方向分别对各个系统进行渗透。 通常这类测试的最初信息来自于 DNS、 Web、 Email 及各种公开对外的服务器。 xx 网站 渗透测试项目技术方案 共 32 页 第。